WinUpdate.exe = Virus ?

[Buddy83]

Hallo zusammen,

ich habe momentan das Problem, dass meine Taskleiste manchmal nicht reagiert. Hab in den Prozessen mal nachgeschaut, ob da etwas seltsames zu finden ist und bin auf zwei Dateien gestoßen.

1. IEXPLORE.exe Ist ja eigentlich die .exe vom InternetExplorer, aber warum läuft der Prozess, wenn ich nur den FF verwende und gar kein IE Fenster offen ist?

Ich hab dann mal einen Systemscan mit Antivir gemacht, der aber Erfolglos blieb. Danach hab ich ein Logfile mit Hijackthis erstellt und die automatische Logfileauswertung gemacht, was zu seltsamer Datei nummer zwei führte:

2. WinUpdate.exe im System32 Ordner. HijackThis zeigte mir an, dass diese Datei dort nicht hingehört und auch google berichtete ähnliches. Ich habe dann versucht, die 150kb große Datei auf einen Online-Virenscanner hochzuladen, was allerdings immer erfolglos blieb - warum auch immer. Löschen konnte ich die Datei auch nicht. Die Meldung, dass "Die Datei von einem anderen Benutzter verwendet wird" erschien.

Ich habe dann noch in der Konsole mit "netstat -an" nach ungewöhnlichen Port-Aktivitäten gesucht, aber auch da scheint alles in Ordnung zu sein.

Jetzt bin ich etwas Ratlos. Kann es sein, dass diese Dateien trotz des negativ-Befunds von Antivir ein Virus oder Trojaner ist?

 

[BrollyLSSJ]

Die Update.exe kannste wohl nicht loeschen, weil eine andere Datei oder sie selber es verhindert. Versuch das Ding mal im abgesicherten Modus zu entfernen. Wenns geht und nach einem Neustart wieder da ist, wird es sicherlich ein Schaedling sein. Außerdem wuerde ich mal gucken, wo die IEXPLORE.exe liegt, kann sein, dass es sogar der IE ist, aber dann wurde die Datei wohl vom Schaedling benutzt, um sich wieder aufs System zu laden. Du kannst sonst mal die Kaspersky Rescue Disk oder aehnliches ausprobieren. Denn wenn kein Windows laeuft, kann sich die Datei auch nicht verstecken. Eventuell geht es auch mit dem Kaspersky Online Scanner oder einen anderen. Du koenntest sonst auch mal versuchen, AntiVir zu deinstallieren und dann Kaspersky, Norton oder ein anderes AV deiner Wahl ausprobieren.

 

[sge4ever13]

Ist das Systemverzeichnis im Abgesicherten Modus nicht schreibgeschützt??

 

[BrollyLSSJ]

Nicht das ich wuesste. Ansonsten mal eben Schreibschutz entfernen. Sollte ja kein Problem sein, da man als Admin angemeldet ist.

 

[Buddy83]

Hab die Dateien jetzt gelöscht und nach dem Booten im normalen Modus ist die Datei nun auch nicht mehr vorhanden. Ist schon komisch.

Werds vielleicht nochmal mit nem anderen Virenscanner probieren, zur Sicherheit.

 

[BrollyLSSJ]

Wenn du erstmal keinen anderen Scanner installieren willst, kannst du auch erstmal z.B. den Online Scanner von Kaspersky durchlaufen lassen. Es koennte aber sein, dass der Scanner Probleme macht, wenn andere Scanner laufen. Dann solltest du vorruebergehend deinen aktuellen Scanner deaktivieren. Bei mir hat er es nicht gemocht, als Kaspersky 2009 aktiv war, allerdings habe ich den Online Scanner auch nur zu Testzwecken installiert. Ansonsten, wie oben erwaehnt, wuerde ich mal Testversionen von Kaspersky, Norton und co runterladen und probieren. Vielleicht finden die was. Bei Kaspersky verlangt er dann aber, dass du Avira deinstallierst.